WEB开发网
开发学院操作系统Windows XP Windows最需要监听的五项安全设置 阅读

Windows最需要监听的五项安全设置

 2007-06-26 09:00:23 来源:WEB开发网   
核心提示: 2 帐户拒绝登陆策略 该策略在用户忘记密码的时候起作用,当然,Windows最需要监听的五项安全设置(2),为了阻止入侵者猜密码或者强制攻击这些密码,最好确保该设置与你的其他安全策略一起使用,如果普通用户拥有服务器,计划或者域管理组的此类权限,如果你的安全策略中没有定义这些设置,下表给出了

2 帐户拒绝登陆策略

该策略在用户忘记密码的时候起作用。当然,为了阻止入侵者猜密码或者强制攻击这些密码,最好确保该设置与你的其他安全策略一起使用。如果你的安全策略中没有定义这些设置,下表给出了对这些设置来说最实用的值。

表 2

默认情况下,这些设置储存在默认域策略GPO中,但不是在那里监听,应该分析诸如DUMPSEC或者域控制器的本地安全策略(在域控制器上运行GPEDIT.MSC)这样的工具。

3 服务器管理员组成员权限

服务器管理员组的成员是Active Directory目录服务器的一个重要的组。该组成员可以对“服务器”的功能类型进行整体变换,包括修改Active Directory站点,服务器DFS配置等等类似方面。他们还能够管理在整个域中的所有用户的帐户,组帐户,以及电脑帐户。

这个组只存在于根域中(Active Director forest中的第一个域)。因此,你只需检查Active Directory forest中的一个域就可以监听该组。该组成员数量应该控制在有限的几个以内。鉴于域管理组中的成员可以添加或者删除该组成员,所以我建议日常情况下该组没有任何成员比较好。

DUMPSEC非常适合用来监听该组。你也可以就用Active Directory Users and Computers项来浏览有该组成员权限的组和用户。

4 计划管理组成员权限

该组的权限跟服务器管理组差不多大,但是针对Active Directory的另一不同的方面的。该组成员能够修改Active Directory的计划,该计划将影响到Forest中所有的域。对该计划的错误修改将使整个服务器瘫痪和崩溃。

该组也只存在于根域中。同样,鉴于计划很少需要变更并且很受限制,日常情况下该组可以没有任何成员。限制该组成员数量或者干脆删去他们,你才能够更好的管理和控制计划变更。

DUMPSEC非常适合用来监听该组。你也可以就用Active Directory Users and Computers来浏览有该组成员权限的组和用户。

5 域管理组成员权限

该组可以全权管理单独域中的所有用户、组以及电脑。该组的权限很大,并且每天都会用到。该组成员数也要控制数量,但是不要让这个组是空的。如果需要某些域功能,你应该使用Active Directory 委任,而不是向这个组添加用户。该委任对所有的Active Directory进行粗略的管理,它不会像域管理组那样分发出太多的权限。该组在所有的Active Directory域中都存在,所以你需要监听所有这些域。

DUMPSEC非常适合用来监听该组。你也可以就用Active Directory Users and Computers来浏览有该组成员权限的组和用户。

总结

对Active Directory进行基本管理至关重要。如果用户的帐户密码太简单,能够轻易被破解,不经常更换或者根本没有设置密码,那么网络和服务器就很容易被攻击。务必正确设置这些密码值以及帐户拒绝登陆策略。那些最实用的值能够帮助你阻挡针对密码的种种攻击。同样的,以上Active Directory服务器三个组的用户权限应当妥善管理并经常监听。如果普通用户拥有服务器,计划或者域管理组的此类权限,那将很可能引发重大损失或严重问题。

上一页  1 2 

Tags:Windows 需要 监听

编辑录入:爽爽 [复制链接] [打 印]
赞助商链接